开放的 5G 电信云网络,是否真的安全

5G 电信云网络的三级分布式架构,可以更加高效地承载各种类型的 5G 垂直行业应用。而 SDN(Software Defined Network,软件定义网络)/NFV(Network Functions Virtualization,网络功能虚拟化)网络云化在极大提升资源利用率的同时,提供了业务自动化开通和智能化运维功能,实现了业务的快速上线和灵活调整。由于 5G 电信云优势显著,目前运营商正在积极推进网络的云化改造。

网络不断云化演进的同时,安全问题备受关注。安全是电信网络的基本需求之一,也是网络建设的重中之重。那么,如此灵活开放的 5G 电信云网络真的安全吗?

NFV 带来的风险

NFV 是一把双刃剑,带来开放性的同时,也带来了安全风险。

NFV 以运行在 x86 服务器上的网元功能软件化的方式实现了软硬件解耦,以硬件资源池化的方式使得网络架构更加开放,业务部署更加灵活。但是在 NFV 架构下,为实现各层面的互操作性,NFV 组件之间必须具备开放性,这会带来组件交互的安全风险。

为了避免这些安全风险,保障虚拟化电信云网络系统安全运行,必须采取有效的安全措施。

5G 电信云网络安全措施

5G 电信云组网对安全性要求非常严格,从物理组网层面到业务网络层面都有限制。

在之前讲的“5G 电信云数据中心的逻辑组网”中,我们提到了根据接入服务器的不同功能,物理网络(Underlay 网络)划分为计算域、存储域和管理域,通过将这三个域各自独立部署并结合防火墙技术,来保证网络的安全性。这其实就是物理组网层面的安全措施。

一般来说,物理组网要进行严格的组网隔离,部分运营商甚至要求多层级的隔离。这也可以看出,安全性在电信云中地位显著。实际应用时,在 5G 电信云系统中会按照不同的安全风险等级,把设备划分到不同的安全域中,不同的安全域边界如果互访,需要穿过防火墙。

类似的,业务网络也会通过划分不同的安全域,再在不同区域之间通过不同类型的防火墙实现等级保护。

下面我们就来看看安全域是如何划分的,以及如何通过分域管理来保证网络的安全。

分域管理

对于安全域的概念,有非常细致的区分,我们把安全域划分为不同的层级。

第一层级,整网划分为计算(业务)域、存储域和管理域,这三个域物理隔离,实现业务网络、存储网络和管理网络的隔离,并使用防火墙对跨越不同网络的通信进行防护。

第二层级,在业务网络内部,又划分为暴露域、非暴露域、核心域和管理域。看到这里,可能细心的同学会产生疑问: 怎么又有一个管理域?别急,此处的管理域与第一层级中的管理域是不同的。

第一层级中的管理域管理的是整个网络,是必要的。而业务网络内的管理域管理的是业务,有时根据客户的实际需求,可能没有管理域,也就是非必要的。

业务网络内不同的区域之间通过不同类型的防火墙实现等级保护。其中不同的安全域中包含不同的网元。

在外部黑客攻破业务网络的暴露域时,不会影响到非暴露域、核心域和管理域的数据安全。即使攻破了非暴露域,由于非暴露域和核心域、管理域之间的防火墙与被攻破防火墙是异构的,最大可能地将网络威胁终止在非暴露域和核心域、管理域之间的防火墙,保证了核心域和管理域的安全。即使整个业务网络受到威胁,但是存储域和管理域还有一层存储 / 管理防火墙的保护,很大可能网络威胁只影响运行业务,而不是让整个基础设施架构受到攻击。

另外,管理域和存储域又划分不同的逻辑网络平面,严格禁止不同网络平面的互访。不同的角色设置不同的权限,分权分域。

其实,电信云中各类域的划分比较类似于古代城池的建造,通过区别不同的功能区域和设置风险等级来方便管理,并且通过建造城门来有效控制不同区域的人员流动,以达到安全可控的目的。

通过分域管理,我们能够精准、快捷地对电信云中的每个区域模块进行有效部署和控制。这就像我们上面所讲的城池建造一样,一个人管理城中那么多的百姓是很困难的。但是,通过划分不同的区域,再给每个区域安排专人负责就可以轻松达到全局可控的目的了。

防火墙部署

理解了分域管理的概念,我们接着上面的例子来讲下防火墙。

通常在古代,一个国家的每个城门都是一种界限的象征。当没有城门的时候,百姓可以在各城中随意出入,容易产生各种矛盾和纠纷,并且不方便协调和管理,因此我们设置了城门来对其进行控制,这样每个城中的人只能在有限的范围内流动,既提升了管理效率,又避免了各种问题。这里的“城门”就类似于防火墙的概念。

在电信云层面,防火墙的用途主要用于安全域边界的隔离。DC(Data Center,数据中心)业务网和外部网络之间的隔离,一般使用南北向防火墙。DC 内不同安全域之间互访的隔离,一般使用跨域东西向防火墙。

其中在东西方向,流量安全采用分布式防火墙(安全组)进行隔离。同一个安全组的 VM(Virtual Machine,虚机)可以互访,不同安全组 VM 间默认是不能互相访问的。安全组是有状态的,租户可以设置某个 VM 能够主动访问其它外网资源,但是拒绝外部的主动访问。

南北向流量安全防护,采用外置硬件防火墙进行安全隔离。

安全域间部署的东西向防火墙挂接在网关上,跨安全域的流量要经过防火墙进行互通。

讲到这里,我们可以看出,5G 电信云的分域管理和防火墙部署相互结合,可以为 5G 电信云构建层层安全屏障。这种措施切实保证了网络的通畅和安全。

网络发展,安全随行。未来,随着 5G 电信云网络规模的不断扩大,安全策略也将越来越完善。

文中涉及的缩略语:

SDN(Software Defined Network,软件定义网络)

NFV(Network Functions Virtualization,网络功能虚拟化)

EPC(Evolved Packet Core,演进的分组核心网)

MANO(Management and Orchestration,管理和编排)

VNFM(Virtualized Network Function Manager 虚拟化网络功能管理)

EMS(Element Management System,网元管理系统)

DC(Data Center,数据中心)

VM(Virtual Machine,虚机)

本文来自微信公众号:中兴文档 (ID:ztedoc)

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注